Upload
trinhanh
View
220
Download
0
Embed Size (px)
Citation preview
C Cours Sécurité et cryptographieSécurité et cryptographie
Mohamed Houcine Elhdhili & Khaled Sammoud
Med elhdhili@yahoo [email protected]@gmail.com
Remarque: ce document doit être complété par les notes de cours
Cours sécurité et cryptographieHdhili M.H 1
Objectifs
Objectifs du cours:
Acquérir des connaissances fondamentales sur les aspects de la sécurité des systèmes d’informationde la sécurité des systèmes d information
Apprendre comment analyser les risquesApprendre comment analyser les risques
Apprendre comment choisir et déployer les mécanismes Apprendre comment choisir et déployer les mécanismes appropriées pour lutter contre les attaques.
Acquérir des connaissances sur les méthodes cryptographique intervenant dans la plupart des
Cours sécurité et cryptographieHdhili M. H
yp g p q p pmécanismes de sécurité
2
Plan
Partie 1: Introduction à la sécuritéNiveaux de sécurisationNiveaux de sécurisationAspects de la sécurité
Services attaques et mécanismesServices, attaques et mécanismesRisquesPolitique de sécuritéPolitique de sécuritéAudit de la sécurité
Partie 2: Attaques / menaces / vulnérabilitésPartie 2: Attaques / menaces / vulnérabilitésDéfinitions, ClassificationsV l é bilité l i i llVulnérabilités logiciellesVulnérabilités des protocoles et des servicesL i i l l ill
Cours sécurité et cryptographieHdhili M. H
Logiciels malveillants3
Plan
Partie 3: Gestion des risquesDéfinitionsDéfinitionsIdentifications des risquesÉvaluation du risqueÉvaluation du risque
Partie 4: Mécanismes de sécuritéMécanismes cryptographiquesContrôle d’accès
Firewall et ACL, VPN, VLAN, SSH, authentification Outils: IDS, IPS, scanners de vulnérabilitésSécurité dans les couches protocolaires
Cours sécurité et cryptographieHdhili M. H
SSL/TLS / SET, IPSEC4
Plan
Partie 5: introduction à la cryptographiePartie 6: t tè Partie 6: crypto-systèmes
Symétriques A é iAsymétriquesHybrides
Partie 7: AuthentificationSchéma de signatures Fonctions de hashage
Partie 8: Authentification interactivePartie 9: Protocoles et infrastructures de gestion de clés
Cours sécurité et cryptographieHdhili M. H
clés5
Chapitre 1
introduction à la sécurité
Cours sécurité et cryptographieHdhili M.H 6
Définitions
Sécurité:Ensemble des techniques qui assurent que les données et Ensemble des techniques qui assurent que les données et les ressources (matérielles ou logicielles) soient utilisées uniquement dans le cadre où il est prévu qu'elles le q p qsoient.Sécurité des systèmes d’informations y
Système d’information:Système d information:Ensemble d’activités consistant à gérer les informations:
acquérir stocker transformer diffuser exploiteracquérir, stocker, transformer, diffuser, exploiter…Fonctionne souvent grâce à un système informatiqueSécurité du système d’information = sécurité du système
Cours sécurité et cryptographieHdhili M. H
Sécurité du système d information sécurité du système informatique
7
Périmètre de la sécurité (1/3)
Réseaux
PersonnelBases de
Réseaux
SÉCURITÉ
Personnel
Locaux
données
Web DE QUI ?DE QUOI ?
Locaux
M té i l
Web
Systèmes MatérielSystèmes d’exploitations
Applications
Cours sécurité et cryptographieHdhili M. H 8
Périmètre de la sécurité (1/3)Périmètre organisationnel et fonctionnel:
Organisation de la sécuritégRépartition des responsabilitésSensibilisations des utilisateursContrôle Contrôle
Politique et guides de sécuritéProcédure de sécurité
Sécurité physique SÉCURITÉ
Personnel
Lutte anti-incendie, dégâts d’eauContrôle d’accès physiqueS d t hi d d t
SÉCURITÉDE QUI ?
DE QUOI ?Locaux
Sauvegarde et archivage des documentsSécurité du matériel: climatisation… Matériel
Cours sécurité et cryptographieHdhili M. H 9
Périmètre de la sécurité (2/2)Sécurité logique:
des données, ,des applications, des systèmes d'exploitation.
B d Réseaux
Des communications réseaux
SÉCURITÉ
Bases de données
SÉCURITÉDE QUI ?
DE QUOI ?Web
Systèmes d’exploitations
A li tiCours sécurité et cryptographieHdhili M. H 10
Applications
Sécurité: nécessité
Besoin d’une stratégie de sécurité pour:
Réseaux
UtilisateursContrats
STRATÉGIEL i i lLé i l ti DE
SÉCURITÉ
LogicielLégislation
MatérielInformaticiens
Cours sécurité et cryptographieHdhili M. H 11Applications
Aspects de la sécurité
Méthodes employées pour Méthodes employées pour casser les services de la sécurité en détournant les mécanismes
(2) ATTAQUES
(1) SERVICES (3)MÉCANISMES(1) SERVICES (3)MÉCANISMES
Fonctionnalités requises Moyens utilisés pour Fonctionnalités requises pour assurer un environnement sécurisé en faisant appel aux
Moyens utilisés pour assurer les services de la sécurité en luttant contre les attaques
Cours sécurité et cryptographieHdhili M. H 12
en faisant appel aux mécanismes
contre les attaques
Aspects de la sécurité: servicesAuthentification
Assurance de l'identité d'un objet de tout type qui peut être une personne (id tifi ti ) li ti(identification), un serveur ou une application.
IntégritéG ti ' bj t (d t fi hi t ) it Garantie qu'un objet (document, fichier, message, etc.) ne soit pas modifié par un tiers que son auteur.
ConfidentialitéConfidentialitéAssurance qu’une information ne soit pas comprise par un tiers qui n’en a pas le droit
Non répudiationAssurance que l'émetteur d'un message ne puisse pas nier l'avoir envoyé et que son récepteur ne puisse pas nier l'avoir reçu.
Disponibilitél l f l bl
Cours sécurité et cryptographieHdhili M. H 13
Assurance que les services ou l'information soient utilisable et accessible par les utilisateurs autorisés
Aspects de la sécurité: attaques
ExternesExécutées par des entités externes au système victime
AttaquesInternes
Exécutées par des entités internes au système victime parce qu’ils sont malicieux
d dou détenu par des attaquants
S tèSystèmeAttaque interne
Attaque externe
P i
interne
AttaquesPassives
A i
Ecoute du système (réseau) pour l’analyser
Injection suppression ou modification de
Cours sécurité et cryptographieHdhili M. H 14Actives Injection, suppression ou modification de
données
Aspects de la sécurité: MécanismesMécanisme de
base Cryptographie
FiltrageMécanismes de la
sécuritéContrôle d’accès
Mécanismes Détection secondaires d’intrusion
Scanners de Scanners de vulnérabilité
Cours sécurité et cryptographieHdhili M. H 15…
RisquesLe risque:Le fait qu’un événement puisse empêcher de
Maintenir une situation donnée etMaintenir un objectif dans des conditions fixées etS ti f i fi lité éSatisfaire une finalité programmée
PPannesAccidents, (incendie, dégâts des fraudes
Risques
geaux,..)
Erreurs: Di l ti Erreurs: utilisation,
exploitation
Attaques
Divulgation d’information
Cours sécurité et cryptographieHdhili M. H 16
q
Types de risques
3 types principaux
Risques opérationnels Qui concernent le fonctionnement de l’entreprise: la continuité Qui concernent le fonctionnement de l entreprise: la continuité d’activité, le risque vis-à-vis de personnes ou équipes clefs, les risques légaux et contractuels, …
Risques stratégiques Liés par exemple à l’obsolescence des produits et les évolutions des réseaux de distribution.
Risques financièresLiés par exemple aux taux de change et au défaut de payement
Cours sécurité et cryptographieHdhili M. H
Liés par exemple aux taux de change et au défaut de payement.
17
Analyse des risques (chapitre)
Objectifs:
Avoir une meilleure protection des systèmes qui conservent traitent et transmettent les informations conservent, traitent et transmettent les informations essentielles au bon déroulement des affaires.
Prendre de meilleures décisions basées sur des faits tangibles et mesurables.g
Investissement en équipement, personnel, formation, …
Permettre à une organisation d’accomplir sa mission.
Cours sécurité et cryptographieHdhili M. H 18
Analyse des risques – premier pas
Définir les besoins.Déterminer les actifs à protéger et leurs propriétairesDéterminer les actifs à protéger et leurs propriétaires.
Quelles sont leurs valeurs? Quelles sont leurs criticités? Quelles sont leurs propriétés?
Dét i l é t t d iDéterminer les menacesre présentant des risques.Quels sont les attaqueurs? Quels sont leurs moyens? Quelles sont leurs motivations?
Déterminer les objectifs à atteindre.Quelles sont les propriétés des actifs à protéger?
Proposer un solution.Déterminer les contre-mesures à mettre en place.
Évaluer les risques résiduels.Déterminer quelles sont les vulnérabilités toujours présentes.
Cours sécurité et cryptographieHdhili M. H
Déterminer leurs impacts sur les objectifs initiaux.19
Analyse des risques – schématiquement
Cours sécurité et cryptographieHdhili M. H 20
Politique de sécurité
ObjectifsSécurisation adaptée aux besoins de l’entreprise (après l’analyse des Sécurisation adaptée aux besoins de l entreprise (après l analyse des risques)Compromis sécurité - fonctionnalité.Permet d’analyser un audit de sécurité
Composantesppolitique de confidentialitépolitique d’accèsp qpolitique d’authentificationPolitique de responsabilitéPolitique de maintenancepolitique de rapport de violations
Cours sécurité et cryptographieHdhili M. H
…21
Politique de sécuritéEtapes d’élaboration:
Identifier les risques et leurs conséquencesIdentifier les risques et leurs conséquences.Elaborer des règles et des procédures à mettre en œuvre pour les risques identifiés.Surveillance et veille technologique sur les vulnérabilités découvertes.Actions à entreprendre et personnes à contacter en cas de détection d'un problème.
Et d i lEtapes de mise en place:Mise en œuvreA dit t t t d'i t iAudit et tests d'intrusionDétection d'incidentsRéactions
Cours sécurité et cryptographieHdhili M. H
RéactionsRestauration 22
Audit de la sécurité (chapitre)
Audit:Mission d’examen et de vérification de la conformité (aux Mission d examen et de vérification de la conformité (aux règles) d’une opération, d’une activitéou de la situation générale d’une entrepriseg p
Objectifs:V i i l li i d é i é éVoir si la politique de sécurité est respectée
Découvrir les risquesq
Effectuer des tests techniques de vulnérabilité
Proposer des recommandations
Proposer un plan d’action
Cours sécurité et cryptographieHdhili M. H
Proposer un plan d action 23
Quelques méthodes de sécurité
EBIOS (Expressions des Besoins et Identification des Objectifs de EBIOS (Expressions des Besoins et Identification des Objectifs de Sécurité)http://www.ssi.gouv.fr/fr/confiance/ebios.html
MEHARI (MEthode Harmonisée d'Analyse de Risques)http://www.clusif.asso.fr/fr/production/mehari
La norme ISO 17799http://www.clusif.asso.fr/fr/production/ouvrages/pdf/Presentati
ISO17799 2005 df
Cours sécurité et cryptographieHdhili M. H
on-ISO17799-2005.pdf
24